Solucionar problemas de eventos ou alertas ausentes para Microsoft Defender para Ponto de Extremidade no Linux

Aplica-se a:

• Microsoft Defender para Ponto de Extremidade para Linux
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade

Este artigo fornece algumas etapas gerais para mitigar eventos ou alertas ausentes no portal Microsoft Defender.

Depois que Microsoft Defender para Ponto de Extremidade tiver sido instalado corretamente em um dispositivo, uma página do dispositivo será gerada no portal. Você pode examinar todos os eventos registrados na guia linha do tempo na página do dispositivo ou na página de caça avançada. Esta seção soluciona o caso de alguns ou todos os eventos esperados estão ausentes. Por exemplo, se todos os eventos CreatedFile estiverem ausentes.

Eventos de rede e logon ausentes

Microsoft Defender para Ponto de Extremidade estrutura utilizada audit do linux para acompanhar a rede e a atividade de logon.

1. Verifique se a estrutura de auditoria está funcionando.

   service auditd status
   

   saída esperada:

   ● auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Mon 2020-12-21 10:48:02 IST; 2 weeks 0 days ago
       Docs: man:auditd(8)
           https://github.com/linux-audit/audit-documentation
   Process: 16689 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
   Process: 16665 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
   Main PID: 16666 (auditd)
       Tasks: 25
   CGroup: /system.slice/auditd.service
           ├─16666 /sbin/auditd
           ├─16668 /sbin/audispd
           ├─16670 /usr/sbin/sedispatch
           └─16671 /opt/microsoft/mdatp/sbin/mdatp_audisp_plugin -d
   

2. Se auditd estiver marcado como parado, inicie-o.

   service auditd start
   

Em sistemas SLES , a auditoria SYSCALL em auditd pode ser desabilitada por padrão e pode ser contabilizado para eventos ausentes.

1. Para validar que a auditoria SYSCALL não está desabilitada, liste as regras de auditoria atuais:

   sudo auditctl -l
   

   se a linha a seguir estiver presente, remova-a ou edite-a para permitir que Microsoft Defender para Ponto de Extremidade acompanhe SYSCALLs específicos.

   -a task, never
   

   As regras de auditoria estão localizadas em /etc/audit/rules.d/audit.rules.

Eventos de arquivo ausentes

Os eventos de arquivo são coletados com fanotify estrutura. Caso alguns ou todos os eventos de arquivo estejam ausentes, verifique se fanotify está habilitado no dispositivo e se o sistema de arquivos tem suporte.

Liste os sistemas de arquivos no computador com:

df -Th

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.